企业安全架构开发模型与上一篇中所说的企业架构开发模型不大一样,这里举例一个安全架构开发模型:SABSA模型,它是一个企业信息安全架构开发的模型和方法论,具体什么意思:它主要是应对,我们在做安全架构的时候,可能要整理一些需求出来跟大家讨论,基于那些方向去做开发,以此整理出来的一个模型,这个模型内容里面可能包括了战略、概念,实施、度量跟审计层次,具体有些像Zachman模型,是一个分层模型。
具体来说就是5W1H,什么时候,什么地点,什么人,什么地点完成了什么样的事情,但是,SABSA是从安全的角度去定义的。
我们这里看一下SABSA的模型的横纵坐标是怎样定义的:
我们看一下纵坐标基本上是基于IT的一个层次的内容,例如说概念层,逻辑层,物理层,逐渐到达运营层。横坐标,就是5W1H,什么时候,什么地点,什么人,什么地点完成了什么样的事情。那我们为什么需要这个安全架构开发模型这个目标呢?其实是为了识别现在我们有什么样的资源,我们需要什么样的安全的一些措施,做了什么安全的措施,那我们还需要做什么措施进行加固,这个就是SABA模型带来的其中一个意义。
安全控制模型这里举例一个模型CobiT,它是国际审计协会ISACA及IT治理协会ITGI联合制定的目标集,名字有点长,首先说这个模型之前,我跟大家说一下企业架构,是组织创建的,系统架构的模型,是基于企业架构组织人员的,是与业务相关的。
CobiT模型主要说了四件事情,其实是一个循环,首先有计划和组织,第二是获得和实现,第三次交付和支持,第四是监控和评价。
COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么,其对企业的影响到什么程度时,就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。